Специалисты Trend Micro Zero Day Initiative (ZDI) выявили серию критических уязвимостей в информационно-развлекательной системе Mazda Connect, которые позволяют злоумышленникам получить полный контроль над автомобилем. Обнаруженные недостатки безопасности затрагивают модели Mazda 3, выпущенные с 2014 по 2021 год, а также другие автомобили производителя.
Технические подробности уязвимостей
Исследование касается системы Mazda Connect Connectivity Master Unit от компании Visteon с программным обеспечением Johnson Controls. В последней версии прошивки (74.00.324A) обнаружен ряд серьезных уязвимостей, включая SQL-инъекции и возможность выполнения неподписанного кода. Особую опасность представляет уязвимость CVE-2024-8356, позволяющая установить вредоносную прошивку с доступом к критически важным системам автомобиля.
Потенциальные риски и последствия
Успешная эксплуатация уязвимостей может привести к следующим последствиям:
- Получение root-доступа к системе управления автомобилем
- Доступ к CAN-шинам, контролирующим двигатель, тормоза и трансмиссию
- Компрометация подключенных устройств
- Возможность внедрения вредоносного кода до загрузки операционной системы
Механизм проведения атаки
По словам старшего исследователя ZDI Дмитрия Янушкевича, для проведения атаки требуется физический доступ к автомобилю. Злоумышленник может использовать специальное USB-устройство для компрометации системы за несколько минут. Наиболее вероятные сценарии получения доступа включают парковки, станции технического обслуживания и дилерские центры.
На момент публикации Mazda не выпустила исправлений для обнаруженных уязвимостей и не предоставила официальных комментариев. Специалисты по кибербезопасности рекомендуют владельцам автомобилей Mazda проявлять повышенную бдительность и ограничивать физический доступ к транспортному средству до выпуска соответствующих патчей безопасности.
